Mientras se analiza la siguiente muestra de malware:
Nombre: najydfdp.exe
MD5: 24DC349285FE3222630D9019E908F0D1
Nombre y MD5 de la muestra
analizada
Se encuentra una funcionalidad muy llamativa de la
misma.
Pero para llegar a ella, primero se pondrá en
situación.
Cuándo lanzamos la muestra (análisis dinámico
básico), se crea un proceso de nombre: “jjprnqwb.exe”,
que a su vez, crea dos procesos de nombre: “svchost.exe”.
Árbol de procesos de
jjprnqwb.exe
Información sobre el proceso de
jjprnqwb.exe
Información sobre el proceso hijo:
svchost.exe, con PID 3408
Información sobre el proceso hijo:
svchost.exe, con PID 1840
NOTA:
Los procesos padres, tanto el: najydfdp.exe,
como el: jjprnqwb.exe son eliminados
Imagen final tras lanzar la
muestra.
Aquí es donde empieza la funcionalidad comentada.
Lo interesante de estos dos procesos es que “deben” existir los dos a la vez, ya
que si uno de los dos “muere”, el otro proceso recupera el proceso “muerto” para
mantener la infección.
Para muestra un botón.
Los procesos originales tenían como PID los
valores: 1840 y 3408.
Si eliminamos el proceso con PID: 1840, el proceso
con PID: 3408, vuelve a lanzar el ejecutable que le ha lanzado a él mismo y que
a su vez, volverá a lanzar el ejecutable: svchost.exe con otro PID distinto.
Secuencia tras eliminarse el
proceso con PID: 1840
Lo mismo ocurriría si el otro proceso fuera
eliminado (se elimina el proceso con PID: 3408).
Secuencia tras eliminarse el
proceso con PID: 3408
Conclusiones
Nos encontramos con un control de la infección, es
decir, un sistema que no permite que el proceso infeccioso pueda ser detenido
de manera sencilla.
Anexo
En la segunda secuencia se puede ver la ejecución
del archivo: anxmghqx.exe. Este
archivo reside en la carpeta: Documents
and Settings/<usuario>/Configuración local/Datos de programa/rkjavehh/
Tal información se obtiene gracias a que en el
proceso de infección se ha modificado el registro de Windows para incluir en la
secuencia de arranque la ejecución del archivo antes mencionado.
Ubicación del archivo: anxghqx.exe
Secuencia de arranque
configurada en el Registro de Windows
Aunque no sólo nos encontramos esto, sino que otro
archivo se ha configurado dentro de la secuencia de arranque, tal y como se
puede apreciar en la foto anterior.
El nuevo archivo es: jjprnqwb.exe, y la ubicación en la reside: Documents and Settings/<usuario>/Configuración local/Temp
Ubicación del archivo: jjprnqwb.exe
NOTA
ADICIONAL:
Comparando todos los archivos encontrados, incluso
el archivo qswhllov.exe encontrado
en la misma ubicación que el archivo “jjprnqwb.exe”.
TODOS SON EL
MISMO.
Comparación de MD5s
No hay comentarios:
Publicar un comentario